云計算在公安電子數據取證技術中的研究與應用

何 明

（河北省冀中公安局 河北 062552）

0 引言

信息技術的快速發展對于我國各項工作的開展都帶來了極大的便利，尤其是云計算的技術，它作為第四次產業革命發展的大趨勢，在我國公安的信息化建設以及取證調查中一定會起到非常重要的作用。云計算在電子證據取證過程中的作用是非常明顯的，一些以電子形式記錄的證據所包含的信息可能會給公安的案件偵查工作帶來更多的有效信息。但目前，我國的公安機關對云計算這種技術的應用仍然處于探索和起步的階段，云計算在公安的數字取證中的應用還有很大的發展空間。

1 云計算的技術概況

云計算也被稱作“云”，作為目前發展潛力最大的新興計算機技術之一，它主要是一種按需交付資源以及按使用收費的基礎架構，主要是通過互聯網的方式來提供動態已擴展并且通常為虛擬化的一些資源。美國國家標準與技術研究院（NIST）定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。它的別稱“云”作為一種比喻說法，很好的形容了它在計算機網絡中信息交互和傳遞的作用。云計算憑借著每秒10萬億次的超強的運算能力，不僅可以預測日常的天氣變化，也能夠推理出日后的市場大致發展趨勢，甚至可以用來模擬核爆炸等軍事用途。云計算的操作非常簡單，無論是使用計算機還是手機等，都可以通過接入數據中心的方式來進行符合自己要求的運算。目前，比較流行的云計算的架構有Hadoop，C1oud Stack，Openstack和 Euca1yptus等。云計算的技術通過互聯網傳輸的方式，將計算分布在大量的分布式計算機上，用戶可以根據自己的需求，對計算機以及存儲系統進行訪問。云計算在各類的應用中總結出來以下的幾個特點。

1.1 云計算龐大的規模

云計算的規模龐大是毋庸置疑的，僅以Goog1e的云計算為例，Goog1e擁有的云計算服務器總數達到100多萬臺，而其他的網絡公司，例如雅虎、微軟等也都平均擁有幾十萬臺的服務器。一些中型或大型的私人企業和公司也平均都擁有幾千臺的服務器。對于這么龐大的數據，云計算必須具有高效的數據管理技術才能夠應對和運作。目前云計算系統中主要運用的數據管理技術是Goog1e的BT ST～IO數據管理技術，以及由Hadoop團隊開發的 Hbase——開源數據管理軟件。在這規模巨大的分布式數據中，如何找到特定的數據，也是云計算數據技術必須攻克的難題。與大數據相比，云計算與其既有聯系、又有不同。從理論角度來看，二者屬于不同層次的事情，云計算研究的是計算問題，大數據研究的是巨量數據處理問題，而巨量數據處理依然屬于計算問題的研究范圍，因此，從這個角度來看，大數據是云計算的一個子領域。從應用角度來看，大數據是云計算的應用案例之一，云計算是大數據的實現工具之一。但二者都表現出來同一個內容，即云計算中處理的數據規模是很龐大的。

1.2 云計算運用的靈活性

云計算作為一個虛擬化的、不是固定實體的計算技術，所有的應用都是在“云”中進行的。用戶不需要找到和了解計算運行的具體位置，只需要通過手機或電腦，連入計算機的網絡服務中就可以得到我們所需要的數據資源。與其他的軟件相比，云計算的通用性很高，它不需要針對特定的一些應用，只需要在“云”的支撐下，就可以適用于各類不同規格和類型的應用。與此同時，云計算憑借著自己強大的可擴展性，通過“云”規模的動態伸縮，滿足了用戶規模變化的需要。云計算的自動化集中式的管理使得更多的企業和部門可以引進云計算的技術，在使用的同時無需擔負高昂的數據中心管理成本，使各類的資源的利用率大大提高。

1.3 云計算潛在的危險性

云計算的技術是存在一定的危險性的，這是因為云計算不僅僅是提供一種計算服務，它同時還提供了存儲服務。對于政府的相關部門以及各類的商業機構，一旦選擇應用了大規模的云計算服務，那就使得這些“數據信息”受到可能被竊取的風險。在今天這個信息社會，各類的“數據信息”都是非常重要的。這些數據信息不僅是用戶個人的隱私，應當被予以保密服務。同時，這些數據信息也會直接影響社會的商業走向及其他方面的社會影響。因此，在選擇使用云計算技術之前，要充分考慮云計算服務可能存在的危險性，經過慎重的考慮再選擇進行應用。

2 公安電子數據取證工作的現狀

公安電子數據取證工作作為公安部門執法辦案過程中的重要環節，具有十分重要的作用。隨著 “天網工程”、移動互聯網和城市無線互聯網絡的完善和普及，在當前案件調查過程中，通過電子取證對監控錄像和移動互聯、城市無線互聯網等相關電子信息的發現、固定、收集、獲取。可以對偵查環節收集案件線索、確定犯罪嫌疑人真實身份；訴訟環節驗證犯罪嫌疑人是否有罪提供諸多可靠證據。隨著我國社會主義民主政治的建設和法治社會的構建，各項法律法規在發展、完善，公安機關執法范圍也在不斷擴大，要求執法民警在案件辦理質量提高同時，更加注重證據意識。電子證據提取、固定在整個取證過程中比重越來越大，發揮的作用也越來越大，因此，對這項工作的研究十分具有重要性和必要性。

刑事訴訟法修改對于公安部門的工作既是機遇也是挑戰，近幾年，公安的電子取證工作中，成績與不足是并存的。一方面，這些年來，公安部門在電子取證工作中取得了顯著的成績，尤其是公安電子取證工具的發展和普及，促進了公安部門電子取證向規范化、多元化、標準化方向邁進，傳統計算機單機和網絡服務器、遠程網絡取證、簡單電子設備取證方面著實有著長足的進步。另一方面，在非傳統網絡應用的電子數據取證、新技術在公安電子數據取證工作中的運用仍存在著一些問題。

2.1 對傳統案件偵查方面，獲取、固定、運用電子數據意識不夠。工作效率不高，過程拖沓

公安機關因其特殊性質，辦理案件分秒必爭，必須要有極高的工作效率、極強的時間意識。然而有些單位或相關人員工作態度不認真，拖沓懈怠，主次不清，不分輕重緩急，給取證工作帶來極大的不便與麻煩。主要表現在以下幾個方面：第一個是特定環境下的案件取證時效性差。如公共場所的盜竊案件和尋釁滋事、拐賣事件等等，由于公共場所由于具有人口流動頻率快、機動性強等特點，有利于作案人的隱藏或者離開作案現場，調查人員往往會將詢查線索與獲取電子證據相對立，先破案再固定電子證據。往往會造成找不到部分嫌疑人或者關鍵證人，從而影響訴訟。第二個方面體現在特定電子數據證失去時效。對于大多數服務器架設在境外的網絡賭博案件，在查扣電子物證時，如果忽略了現場電子數據的固定和取證，往往會對案件調查進展產生不良影響，案件調查的第一手證據就會永遠消失。最簡單包括象驗證碼、登錄用戶的Cookies信息等等，取證人員稍有怠慢，就面臨著重要的電子信息無法固定、獲取。第三方面的原因是對于高智商高科技犯罪取證難度大。由于取證人員專業知識不足和使用取證設備并不處在前沿等原因，對于一些使用高端科技和信息化知識專業性很強的罪犯，往往取證上會出現很多困難。

2.2 公安電子數據取證結果不完整、不全面

首先，取證人員在調查證據時，由于專業能力差、證據意識不強、搜針范圍過于狹窄，造成對于現場的調查不仔細，有些細微證據未能被發現，就如對于一個簡單的聊天記錄的調查，由于取證人員忽視，沒有搜齊聊天所使用的設備，可能造成的影響就是獲取的聊天記錄不完整，關鍵證據丟失。對于人證的調查以偏概全，不夠完整。詢問缺乏系統性等原因，導致信息錯誤、關鍵細節漏問，造成無法通過取證技術獲取其在網絡上隱藏證據的信息。對送檢電子檢材及案件細節描述不清、對檢材鑒定需求不明，造成提取的電子證據聯系松散，不能相互印證，大大降低了電子證據的效用；最后，電子數據取證工作還存在漏取現象。很多辦案單位在取證過程中重“大件兒”，對于損失大影響大的大型案件或者要件的電子數據取證很上心，而一般案件的電子數據取證卻比較松懈。造成電子數據提取的結果不完整。

2.3 目前的公安電子數據取證過程缺乏方法和策略

目前普遍存在電子取證方面，缺乏方法與策略。有些取證人員將電子取證變成了一個機械步驟，操作按部就班，取證方法千篇一律，取證過程模式化，不能做到因人而異、因事而變。二是目前的公安人員在取證后缺乏信息的交流和溝通，只將自己獲得的證據進行小規模的共享，沒有能力擴散到更多需要相關證據的部門，因此這樣缺乏溝通性的方法和策略容易使所獲得的證據形成信息孤島，不利于公安機關作為一個整體，開展辦案和取證的工作。

3 云計算的技術在公安數字取證技術中的具體應用

3.1 云計算中數據信息的復制技術

在信息技術快速發展的今天，公安的電子數據取證工作面臨著的往往是具有很高水平的入侵者，運用現代網絡技術的能力很強，各種技術和方法作為犯罪手段應用千變萬化、層出不窮，因此在電子取證中也需要引進更高水平的應對技術。云計算技術可以在電子數據取證中，對數據的復制、線索比對、密碼破解、數據分析等方面發揮很好的作用，例如在數據的復制技術中，云計算技術可以在數據備份、數據鏡像、拍照和攝像等方面發揮著其特有的作用。舉例說明，當一些數據信息中包含一些的視聽資料，就可以在用拍照和攝像的方式記錄下取證的全過程后進行保存和記錄，并通過數據鏡像的方式將備份在短時間內恢復到另外的一臺主機上。這主要是考慮到在映像上進行的分析工作要比在原件的基礎上進行分析和操作更加安全和可靠，避免對原件造成損失。這些復制的數據可以增強公安在取證中的權威性，避免出現犯人翻供的情況。總之，應用云計算的技術，可以代替以往使用效率較低的公安辦公中的“煙囪式 IT”的結構管理模式，合理的運用已有的硬件資源，將硬件資源進行合理化的應用，提高這些物理設備的使用效率。通過云計算的數據處理及數據復制的技術，在一定程度上減少設備的采購數量，從整體上為公安機關節省資金，提高整體機器的使用效率。

3.2 云計算中數據信息比對技術

公安電子數據取證發展，一方面通過新獲取的證據數據對已有的證據數據進行補充，形成海量。運用云計算技術形成各類數據專家庫，另一方面在原有的數據中對新獲取的證據數據進行分布式比對，發現線索、關聯證據，為公安案件偵查、竄案、并案提供線索。面對數量龐大的數據星系，可以考慮應用人工智能和數據挖掘技術，對特定的證據以及特定的犯罪案件進行比對。做到不僅是收集證據資料，而且實現了取證的智能化。這種智能技術的核心在于開發專家系統，這種專家系統可以將系統指定為有標識或者能夠預測類型數據的能力，這樣的智能性提高了數據分析的能力，也對證據之間的關聯規則分析、分類和聯系分析等有了更好的闡釋。

3.3 云計算中數據信息的復原技術

在公安進行數字取證的過程中，因為系統原因造成的數據丟失或者遇到一些不法分子對已有的數據進行了不同程度的破壞，阻礙案件偵查的順利進行。利用云計算的技術，可以通過對提取電子證據進行復原，對一些遭到破壞的數據信息進行恢復以及一些對不可見區域的數據提取，通過復原的公安電子數據信息，為案件偵查提供可靠的信息支持，從而提高公安的工作效率和工作質量。需要注意的是，大多數的計算機系統其實本身就自帶有一些自動生成輩分數據或者恢復數據的功能，一些經過特殊設置的計算機安全系統還會為計算機的中的重要數據進行專門的備份。這些安全系統在設置時一般都是用一些專門的設備以及專業的操作管理共同組成的，如果想要進行篡改，難度比較大。因此，當一些不法分子通過計算機網絡進行非法的交易，并將相關的證據、數據信息進行修改和破壞時，公安部門可以通過云計算的技術，將系統為之自動備份的數據和經過處理后的數據進行證據之間的對比和比較，盡量恢復原數據，最終獲取在破案中所需要的真實數據。

3.4 云計算中數據信息的密碼破解技術

在目前的公安電子數據取證工作中，一個重要的工作內容就是對相關應用程序用戶密碼或加密數據的密碼進行破解。利用云計算和分布式運算技術，在取證云計算機上部署密碼破譯恢復模塊，幫助取證人員破譯不同類型的密碼，讓取證人員獲取密碼的時間相對縮短。例如，當我們使用Ping或Traceroute的命令時，Ping命令會向目標的主機發送數據請求，并開啟監聽的ICMP的應答設備，這樣我們就可以通過Traceroute的命令獲得從源主機到互聯網另一端的目標主機的路徑參數，包括事件、設備名稱以及IP地址等。

3.5 云計算的具體使用步驟

在通過云計算進行取證的過程中，主要的用法包括了取證調查、故障的排除、日志的檢測以及數據和系統的恢復。在取證調查中，可以針對一些具有違反多管轄權和多租戶的云計算環境中的調查。另外，對一些可疑的交易、操作以及系統事件響應云計算的調查，進行關于云事件的重建。針對一些可疑的調查證據，可以選擇向法院提供必要的破案證據。在故障的排除過程中，可以通過定位某個數據文件的方式，在云環境下追蹤相關的部件。也可以在確認了單個事件的發生后，逐漸找出與其相關的多個事件的原因，在新的戰略方案下尋找根本原因，防止故障的發生。在日志的監測中，公安機關應當在法律允許的范圍內，進行盡職的相關數據的調查，并對相關的數據進行收集、分析和審計。針對一些被意外或故意刪除、修改的證據和數據，可以進行恢復，并對重要的問題進行加密。公安機關在云計算的幫助下，應盡最大的努力，根據相關的規定進行工作的取證，并保證在取證過程中保護用戶的敏感信息，并定期進行監測和維護，保證公安機關在進行辦案取證的同時，不干擾和損害其他用戶的正規利益，使公安機關的工作得以正常的開展和運行。

通過云計算進行取證的具體的操作步驟是這樣進行的，第一個是在取證之前明確公安機關需要通過云計算進行什么樣的取證，即取證的目的。第二個步驟是需要確定和識別云計算中取證的服務類型，如到底是PaaS、還是IaaS、或是SaaS的技術。第三個步驟主要是為了確定自己所采用的背景技術類型是什么。第四個步驟是針對于客戶端而言的，在進行云計算的取證之前，要確定用戶在客戶端中的作用，并且通過取證工具，進行用戶在客戶端所執行過的活動的取證和記錄。第五個步驟是針對于服務器端而言的，在取證前需要得到來自用戶器端的相關使用證據，并與云服務的提供商進行交流和溝通，避免出現冒名頂替服務器端進行數據查詢的情況出現，減少威脅數據安全的行為。另外，服務器端可以從云服務的提供商處進行日志的收集，在經過云服務的身份確認后，在提供商處收集全部的證據。最后一步，針對云計算的開發方，可以在開發方處進行全部證據的收集，然后識別在數據上傳過程中所需要使用的工具，最后確認一邊云服務提供商接受數據的時間是否一致。

4 結束語

在科學技術的推動下，云計算近期推出了云取證的操作方式。在當前的公安電子數據取證的過程中，有很多新的挑戰和挫折需要公安機關面對，包括一些司法管轄權問題和國際合作的問題。目前云計算缺乏相關的標準和政策，這既是一種發展機會，又存在著潛在的危險。因此，公安機關應當將云計算更好的應用在取證過程中，無論是靜態的電子證據，還是動態的網絡電子取證，都可以通過強調關鍵技術的方式幫助公安機關提高辦案的工作效率，更好的保障公安機關工作的正常運行。

[1]羅軍舟,金嘉暉,宋愛波等.云計算：體系架構與關鍵技術[J].通信學報.2011.

[2]國光明,楊健云.計算在公安信息化建設中的應用[J].武漢公安干部學院學報.2013.

[3]郭軍.云計算在公安信息化建設中的應用研究[J].科技向導.2015.